Hack hotelketen Marriott brengt data 500 miljoen gasten in gevaar

Marriott, de grootste hotelketen ter wereld, heeft een security-incident bekendgemaakt waarbij de gegevens van ongeveer 500 miljoen gasten mogelijk in handen van hackers zijn gevallen.

Hackers zouden toegang hebben gekregen tot het reservatiesysteem van Starwood Hotels, dat sinds 2016 eigendom is van Marriott International. Tot het merk behoren onder meer de W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton en Design Hotels

Sinds 2014

De inbreuk kwam begin september aan het licht, nadat Marriott een melding ontving van een interne securitytool dat er een poging was gedaan om de Starwood-reserveringsdatabase te raadplegen vanuit de Verenigde Staten. Uit het daaropvolgende onderzoek bleek dat er al sinds 2014 ongeoorloofde toegang tot de database was.

De database in kwestie bevat de gegevens van zo’n 500 miljoen gasten die een reservatie hebben gemaakt bij de keten. Voor ongeveer 327 miljoen gasten gaat het om een combinatie van naam, adres, telefoonnummer, e-mailadres, paspoortnummer, geboortedatum, geslacht en andere informatie met betrekking tot de reservatie.

Betaalinformatie

In sommige gevallen is ook betaalinformatie betrokken. De betaalinformatie was versleuteld met AES-128-encryptie, dat twee componenten vereist om de kredietkaartnummers te kunnen ontcijferen. Marriott laat weten dat het op dit moment de mogelijkheid niet kan uitsluiten dat de hackers beide componenten hebben kunnen bemachtigen.

Marriott heeft de politie ingeschakeld en zet het onderzoek verder in samenwerking met externe securityspecialisten. Ook de relevante regulatoren – de inbreuk valt onder de GDPR-wetgeving – werden geïnformeerd. Getroffen klanten worden vanaf vandaag per e-mail op de hoogte gebracht.